警視庁サイバー犯罪対策課は2023年2月2日、サンドラッグの公式アプリを利用して他人のアカウントに不正アクセスした疑いで、中国籍・無職の20代男性を逮捕したと明らかにしました。
情報によると、逮捕された男性は2022年7月、埼玉県に住む30代女性のアカウントにログインし、ポイントを使用して化粧品などを購入した疑いがあるとのこと。サンドラッグ社は2022年7月に19,000件ものリスト型攻撃被害を発表しており、容疑者は一連の攻撃に関与した疑いが持たれています。
リスト型攻撃とは、外部サービスで流出した認証情報を利用して、別のサービスに不正ログインを試みるというものです。多くのユーザーは複数のサービスにまたがり共通したパスワードを設定する傾向があるため、既に多数の被害が確認されています。